Parecía que se habían acabado, un resquicio del pasado,
pero los atacantes buscan nuevas (o antiguas) formas de engañar a los usuarios
para lograr su objetivo. En esta ocasión, un virus en forma de documento Word
con macros es el encargado de infectar el sistema con un troyano bancario.
Seguramente
muchos de los usuarios actuales nunca hayan visto ni oído hablar de los virus
de macro, y posiblemente de ese desconocimiento se quiere aprovechar este
virus. Los virus de macro tuvieron su época dorada hace ya más de 10 años
(finales de los 90 y principios de los 2000). Quizás el más recordado de todos
sea el famoso "Love Letter". Este tipo de virus se aprovechan de las
capacidades del lenguaje de macros de diferentes productos (principalmente Word
y Excel) para realizar sus acciones maliciosas, anteriormente tan solo se
reproducían e infectaban otros sistemas, pero su carga maliciosa puede ser de
cualquier tipo.
El nuevo
malware, descubierto por Trend Micro ha sido bautizado como Dridex, al
considerarlo como el sucesor del troyano bancario Cridex, ya conocido desde
hace unos años. Tanto Cridex y Dridex están destinados al robo de información
personal, especialmente datos bancarios, nada nuevo.
Sin embargo,
mientras el malware Cridex es directamente uno de los "payloads"
asociados al kit de ataque. Dridex, por el contrario, usa spam para distribuir
documentos Word que contienen código macro malicioso. Es esa macro la encargada
de descargar Dridex en el sistema afectado.
Esa es la
novedad de este malware, se emplea un documento Word con macros para realizar
la descarga del malware en el sistema del usuario.
La infección
- El primer eslabón en la cadena de infección es la recepción de un mensaje de spam. Los correos están supuestamente enviados por empresas legítimas, e incluyen un adjunto que dice ser facturas o documentos contables.
- El documento Word adjunto contiene la macro maliciosa. El usuario debe abrir el archivo y verá un documento en blanco. También existen adjuntos en los que se le indica al usuario que el contenido no será visible hasta que active las macros. Generalmente, por defecto, Word tiene desactivada la ejecución de macros. Por lo que mostrará una indicación para activar dicha función. Una vez más la ingeniería social entra en acción, el usuario desapercibido puede entender que el contenido del archivo no será visible a menos que se active la función de macros. Pero si el usuario activa las macros, se producirá la descarga del malware Dridex (concretamente TSPY_DRIDEX.WQJ).
- Una vez se ejecuta, el malware actúa de una forma tradicional, como cualquier otro troyano bancario. Monitoriza la actividad relacionada con una serie de bancos online, principalmente europeos. Algunos de sus bancos objetivos son: Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a alguno de estos bancos online, procede al robo de información de a través de diferentes métodos, como la grabación de formularios, capturas de pantalla o inyecciones en el sitio.
- Banking Trojan DRIDEX Uses Macros for
Infection http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/
- TSPY_DRIDEX.WQJ
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TSPY_DRIDEX.WQJ
